Référence mondiale pour l'identification des failles informatiques, la base de données CVE a frôlé la disparition. Le gouvernement américain a menacé de couper son financement, avant de lui accorder un sursis de dernière minute.
Le monde de la cybersécurité a retenu son souffle ces 24 dernières heures. La base CVE (Common Vulnerabilities and Exposures), pierre angulaire de la sécurité informatique mondiale depuis 25 ans, devait s'éteindre en raison de la fin du contrat entre la MITRE Corporation, l'organisme à but non lucratif qui la gère, et la CISA, l'agence fédérale américaine de cybersécurité. Heureusement, mardi soir, quelques heures avant l'échéance fatidique, une prolongation de 11 mois a été accordée, ce qui évite temporairement une crise immédiate dans le secteur.
CVE, un système vital pour identifier les failles de sécurité
Depuis 1999, la base CVE est un peu l'épine dorsale de la coordination mondiale face aux menaces informatiques. Ce registre public attribue à chaque vulnérabilité de sécurité découverte (une porte d'entrée potentielle pour les pirates) un identifiant unique, comme « CVE-2025-01234 » par exemple, qui permet aux équipes de cybersécurité du monde entier de parler le même langage lorsqu'elles échangent sur les vulnérabilités.
Sans cette référence universelle, les nouvelles failles ne seraient plus répertoriées de manière centralisée. Concrètement, quand votre antivirus ou votre système d'exploitation se met à jour pour corriger des « vulnérabilités critiques » c'est souvent en se référant à ces identifiants CVE que les correctifs sont développés et déployés automatiquement sur vos machines et appareils.
L'impact d'une disparition de CVE aurait donc été particulièrement sévère pour les entreprises et les institutions publiques qui n'ont que des ressources limitées. Ces organisations, contrairement aux géants technologiques, n'ont généralement pas les moyens de développer leurs propres systèmes de détection et de suivi des vulnérabilités, ce qui les rend totalement dépendantes de cette infrastructure commune.
Un sursis temporaire accordé, qui pose des questions de fond
La CISA a finalement prolongé son contrat avec le programme CVE pour 11 mois supplémentaires, évitant une rupture immédiate des services. Ouf ! Cette décision de dernière minute a été prise dans un contexte de tensions budgétaires, où l'administration Trump met une pression économique dantesque sur plusieurs structures dédiées à la cybersécurité.
Malgré ce répit de moins d'une année acté, des tensions émergent déjà au sein de l'organisation. Une partie du conseil du programme CVE envisage de créer une entité indépendante, qui serait baptisée « la CVE Foundation ». Cette dernière aurait pour mission de garantir sa neutralité et sa pérennité au-delà des aléas politiques américains. Selon différentes sources, cette initiative viserait à réduire la dépendance du programme à un financement gouvernemental unique.
Alors que les cyberattaques se multiplient contre nos infrastructures essentielles et nos services quotidiens, les outils qui nous protègent reposent sur des fondations institutionnelles bien fragiles. En 2023, plus de 25 000 nouvelles vulnérabilités ont été enregistrées dans la base CVE, ce qui témoigne de son rôle crucial et irremplaçable dans notre sécurité numérique collective. Gageons que ses protecteurs seront la garder en vie.
